新型Yurei勒索病毒分析报告：基于PowerShell与ChaCha20算法的双重威胁 ...

背景概述

2025年9月初，一种名为Yurei的新型勒索病毒崭露头角，其独特的Go语言实现与ChaCha20加密算法迅速引起了安全研究人员的注意。9月5日，斯里兰卡一家食品制造商成为首个公开记录的受害者，攻击者在实施文件加密的同时，还采取双重勒索策略（Double Extortion），即窃取敏感数据以进一步施压。随后数日内，印度与尼日利亚的两家机构也相继受害，凸显了该病毒的快速传播能力。

技术溯源与攻击手法

与多数依赖定制化工具的高级黑客组织不同，Yurei的代码库可追溯至开源项目Prince-Ransomware，这一线索引发了关于攻击者技术水平与资源储备的疑问。该病毒的核心机制如下：

1. 并行化文件遍历：
   利用Go语言的并发特性，同时扫描所有驱动器及网络共享文件。

2. 动态加密设计：
   每个文件均生成独立的随机ChaCha20密钥与Nonce（一次性随机数），再通过ECIES（椭圆曲线集成加密方案）使用攻击者公钥进行二次加密，最终将密文、密钥及Nonce以分隔符||拼接存储（示例见技术代码片段）。

3. 遗留调试信息：
   Yurei未剥离二进制文件中的符号表，保留了诸如Yurei_encryption_generateKey等函数名称，这一疏漏极大简化了逆向工程分析流程。然而，其采用Go语言编译的特性仍对依赖传统特征检测的杀毒软件构成挑战。